“ประเสริฐ” เผย 1,158 หน่วยงาน พบข้อมูลประชาชนรั่ว และ 21 หน่วยงานมีความเสี่ยงระดับสูง สั่งเร่งแก้ไข ลั่น หากยังทำผิดซ้ำ จะลงโทษอย่างเคร่งครัดเด็ดขาดตามกฎหมาย

วันที่ 21 พฤศจิกายน 2566 นายประเสริฐ จันทรรวงทอง รัฐมนตรีว่าการกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม กล่าวว่า ในช่วงที่ผ่านมา มีปัญหาการหลุดรั่วของข้อมูลประชาชน ตลอดจนการซื้อขายข้อมูลประชาชนตามที่เป็นข่าว จึงได้เร่งดำเนินการ 6 มาตรการ เพื่อแก้ปัญหานี้ โดยแบ่งเป็น ระยะเร่งด่วน 30 วัน ระยะ 6 เดือน และระยะ 12 เดือน ดังนี้ 

ระยะเร่งด่วน ใน 30 วัน

1. ให้สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.) จัดตั้งศูนย์เฝ้าระวังการละเมิดข้อมูลส่วนบุคคล หรือ PDPC Eagle Eye เร่งตรวจสอบข้อมูลที่เปิดเผยต่อสาธารณะ พร้อมทั้งค้นหา เฝ้าระวัง การรั่วไหลของข้อมูลส่วนบุคคล โดยในช่วง 9-20 พฤศจิกายน 2566 ได้ดำเนินการและมีผลดังนี้

  • ตรวจสอบแล้ว 3,119 หน่วยงาน (ภาครัฐ/ภาคเอกชน)
  • ตรวจพบข้อมูลรั่วไหล/แจ้งเตือนหน่วยงานแล้ว 1,158 เรื่อง
  • หน่วยงานแก้ไขแล้วจำนวน 781 เรื่อง

นอกจากนี้ พบกรณีซื้อขายข้อมูลส่วนบุคคล 3 เรื่อง ซึ่งอยู่ระหว่างสืบสวนดำเนินคดีร่วมกับกองบัญชาการตำรวจสืบสวนสอบสวนอาชญากรรมทางเทคโนโลยี (บช.สอท.) ทั้งนี้ ได้สั่งการให้ศูนย์ PDPC Eagle Eye เร่งตรวจสอบ 9,000 หน่วยงาน ใน 30 วัน

2. ให้สำนักงานคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ (สกมช.) ตรวจสอบช่องโหว่ ระบบ Cybersecurity หรือระบบการรักษาความมั่นคงปลอดภัยข้อมูล โดยเฉพาะหน่วยงานภาครัฐที่เป็นหน่วยงานโครงสร้างพื้นฐานสำคัญทางสารสนเทศ (Critical Information Infrastructure: CII) อาทิ ด้านพลังงานและสาธารณสุข ด้านบริการภาครัฐ และการเงินการธนาคาร เป็นต้น โดยการตรวจสอบช่องโหว่ ของระบบ cybersecurity ช่วง 9-20 พฤศจิกายน 2566

...

  • ตรวจสอบระบบ Cybersecurity แล้ว 91 หน่วยงาน
  • ตรวจพบมีความเสี่ยงระดับสูง 21 หน่วยงาน และ สกมช. ได้แจ้งให้แก้ไขแล้ว


ขณะเดียวกัน พบการซื้อขายข้อมูลคนไทยใน Dark web (เว็บผิดกฎหมาย ที่คนร้ายหรือโจรออนไลน์นิยมใช้) จำนวน 3 เรื่อง ซึ่งอยู่ระหว่างสืบสวนดำเนินคดีร่วมกับ บช.สอท.

3. ให้ สคส. และ สกมช. ร่วมกับหน่วยงานที่เกี่ยวข้อง เช่น สภาหอการค้าแห่งประเทศไทย สภาอุตสาหกรรมแห่งประเทศไทย สมาคมธนาคารไทย สมาคมประกันชีวิตไทย สมาคมโรงแรมไทย รวมถึงเครือข่ายภาคสื่อมวลชน สร้างความตระหนักรู้เกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล การป้องกันความเสี่ยงต่างๆ ที่อาจเกิดขึ้นหากไม่ปฏิบัติตามระเบียบขั้นตอนการรักษาความปลอดภัยของหน่วยงาน ความรู้เกี่ยวกับการรักษาความมั่นคงปลอดภัยทางไซเบอร์ (Cybersecurity Awareness Training) เช่น การป้องกันการบุกรุกจากบุคคลภายนอก การตั้งค่าระบบอย่างปลอดภัย และการบังคับใช้กฎหมายตามอำนาจหน้าที่อย่างเคร่งครัด

4. ให้กระทรวงดิจิทัลฯ และ สอท. เร่งรัดปิดกั้นการซื้อขายข้อมูลส่วนบุคคลที่ผิดกฎหมาย และดำเนินคดีจับกุมผู้กระทำความผิด

ระยะ 6 เดือน

5. ส่งเสริมการใช้งานระบบคลาวด์กลางภาครัฐที่มีความน่าเชื่อถือ ความมั่นคงปลอดภัยตามหลักวิชาการสากล รองรับการใช้งานของบุคลากรของหน่วยงานต่างๆ ได้อย่างปลอดภัย เพื่อป้องกันและลดปัญหาการรั่วไหลของข้อมูลส่วนบุคคล จากสาเหตุที่หน่วยงานภาครัฐส่งข้อมูลให้หน่วยงานภายนอก หรือขาดบุคลากรในการกำกับดูแลงานด้านความมั่นคงปลอดภัยไซเบอร์

ระยะ 12 เดือน

6. ปรับปรุงกฎหมายที่เกี่ยวข้องให้ทันสมัยต่อบริบทของสังคมและพฤติการณ์ที่เปลี่ยนไป และเพื่อเพิ่มประสิทธิภาพการบังคับใช้กฎหมายของเจ้าหน้าที่ในการตรวจสอบและป้องกันอาชญากรรมทางไซเบอร์ที่ดียิ่งขึ้น เช่น

  • พระราชบัญญัติว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2550 และที่แก้ไขเพิ่มเติม ให้ครอบคลุมการซื้อขายข้อมูลส่วนบุคคล
  • พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 เพิ่มบทลงโทษทางอาญาในการซื้อขายข้อมูลส่วนบุคคล และให้อำนาจ สคส. ดำเนินคดีได้เอง โดยไม่ต้องรอผู้เสียหายร้องเรียน
  • พระราชบัญญัติการรักษาความมั่นคงปลอดภัยทางไซเบอร์ พ.ศ. 2562 เพิ่มบทลงโทษแก่หน่วยงานรัฐที่ไม่ปฏิบัติตามมาตรการความมั่นคงปลอดภัยทางไซเบอร์

สำหรับ 6 มาตรการคุ้มครองข้อมูลส่วนบุคคลและแก้ปัญหาซื้อขายข้อมูล นายประเสริฐ ได้มีการรายงานต่อที่ประชุมคณะรัฐมนตรี (ครม.) ในวันนี้แล้ว พร้อมระบุในตอนท้ายว่า “ขอยืนยันว่ารัฐบาลนี้เอาจริงเรื่องการขโมยข้อมูล ซื้อขายข้อมูลส่วนบุคคล ต้องจับตัวเอามาลงโทษให้ได้ สำหรับเรื่องหน่วยงานปล่อยปละละเลยให้ข้อมูลรั่ว ผมได้สั่งการให้เร่งตรวจสอบการเปิดเผยข้อมูลที่ไม่เหมาะสม และระบบ Cybersecurity ของหน่วยงานต่างๆ โดยเฉพาะหน่วยงานของรัฐที่มีข้อมูลประชาชนจำนวนมากยังพบว่ามีข้อมูลรั่ว และสั่งการให้เร่งแก้ไขไปแล้ว หากหน่วยงานไหนยังทำผิดซ้ำ จะลงโทษอย่างเคร่งครัดเด็ดขาดตามกฎหมาย”